您可以从选定的 Endpoint Agent 主机获取文件、进程和自动运行点的列表。为此,您必须创建取证收集任务。
要创建取证收集任务:
这将打开任务表。
这将打开任务创建窗口。
自动运行点列表包括有关添加到启动文件夹或在注册表的 Run 键中注册的应用程序的信息,以及在带有 Endpoint Agent 组件的主机启动时以及用户登录指定主机上的操作系统时自动运行的应用程序的信息。
您可以使用以下前缀:
使用用户定义的环境变量时,文件列表包含有关设置了指定环境变量的所有用户的文件夹中的文件的信息。如果用户定义的环境变量覆盖系统环境变量,则文件列表将根据系统环境变量的值包含有关文件夹中文件的信息。
您可以指定多个主机。
如果您使用 Kaspersky Endpoint Agent 充当 Endpoint Agent 组件,则取证收集任务只能分配给运行 Kaspersky Endpoint Agent for Windows 版本 3.10 及更高版本的主机。仅具有 Kaspersky Endpoint Agent for Windows 3.12 及更高版本的主机支持获取自动运行点列表。
如有必要,您可以为文件夹中的文件指定以下搜索条件:
如果请求的文件已链接到其他 NTFS 数据流,则运行该任务将生成请求的文件链接到的 NTFS 数据流的所有文件。
默认情况下已选择该复选框。
取证收集任务已创建。任务创建后自动运行。
作为任务的结果,应用程序将 ZIP 存档放置在存储中;存档包含包含所选数据的文件。如果任务成功完成,您可以将存档下载到本地计算机。
具有安全审计员角色的用户无法创建取证收集任务。
具有安全官角色的用户无权访问任务。